Bing Chatの会話でマルウェアを拡散

Web検索はとても広く利用されています。
そしてWeb検索には多くの広告記事が含まれます。
利用者が非常に多いため、広告の掲載の価値があるということなのでしょう。
人が多く集まる場所には、みんなが注目します。
脅威アクターも注目します。
Web検索の広告には、マルウェアの配布サイトの情報が混入されます。

また、ここのところ人気が定着してきている仕組みがもう一つあります。
生成系AIです。
いくつもの大手からサービスがリリースされており、広く利用することが可能です。
利用者が広がっているシステムには広告の仕組みが組み込まれます。

Microsoftの提供するサービスの一つに、Bing Chatがあります。
Bing Chatはこれまでの通常のオンラインのWeb検索の方式ではなく、チャットを利用するような方式でこれまでよりも直感的にオンライン検索することのできるものとして提供されています。
そして2023年3月以降、このBing Chatの応答の中に、広告を挿入するサービスが開始されました。

広告だとしても、正規の情報が入手できるぶんには有用なものに思います。
しかし、脅威アクターの用意する広告のSEO対策が効果的に作用しているのか、場合によっては、正規の情報の広告よりも脅威アクターの用意したURLのエントリーのほうが上位に検索結果として表示されることも少なくありません。

一つの例が確認されています。
こういうものです。

• Advanced IP Scannerを探したい人がいる
  Advanced IP Scannerは指定した範囲のIPアドレスをスキャンしてローカルネットワーク上の端末を検出できるツールです。
  特定の領域の人たちに人気のあるツールです。
  これの情報を探している人がいます。
• Bing Chatで探す
  Advanced IP ScannerについてBingで質問します。
  そうするとAdvanced IP ScannerのWebサイトの情報をBingが教えてくれます。
• Bing Chatの返答結果
  Advanced IP ScannerのURLを含む情報が複数応答に含まれた状態で結果が示されます。
  「Advanced IP ScannerのオフィシャルWebサイトはここです」のような文字がリンクとして表示されます。
  そのリンクにマウスをフォーカスすると、いくつかのWeb検索結果が表示されます。
  この例の場合は、2つの情報がリストとして表示されました。
  2行目は本物のオフィシャルサイトの情報でした。
  1行目は悪意ある人の用意したサイトで、Advanced IP Scannerを装ったマルウェアを配布するサイトでした。

誘導に成功した悪意あるサイトでの処理内容も興味深いものになっています。
訪問者のIPやタイムゾーンやVMからの通信であるのかどうかなど、訪問者の属性を確認します。
ターゲットの範囲であることを認識すると、巧妙に用意されたtypoのWebサイトに誘導し、マルウェアのダウンロードに繋げます。

検索プラットフォームにおけるマルバタイジングという既存の問題が、AIアシスタントの導入によってさらに拡大してきている、という構図になっています。
AIアシスタントの提示する内容だからといって、安心して利用できるものだけであると考えることはできなさそうです。

参考記事（外部リンク）：Malicious ad served inside Bing’s AI chatbot
www.malwarebytes.com/blog/threat-intelligence/2023/09/malicious-ad-served-inside-bing-ai-chatbot